Expliqué : une cyberattaque massive aux États-Unis, utilisant un nouvel ensemble d'outils
L'une des plus grandes cyberattaques à avoir ciblé des agences gouvernementales et des entreprises privées américaines, le « piratage de SolarWinds » est considéré comme un effort mondial probable. Comment cela a-t-il été réalisé et quel type de données a été compromis ? Pourquoi les responsables du gouvernement américain et les politiciens ont-ils nommé la Russie ?
La cible de la cyberattaque était Orion, un logiciel fourni par la société SolarWinds. (Photo Reuters) Le « piratage SolarWinds », une cyberattaque récemment découverte aux États-Unis, est devenu l'un des le plus grand jamais dirigé contre le gouvernement américain, ses agences et plusieurs autres entreprises privées. En fait, il s'agit probablement d'une cyberattaque mondiale.
Il a été découvert pour la première fois par la société américaine de cybersécurité FireEye, et depuis lors, de nouveaux développements continuent d'être révélés chaque jour. L'ampleur de la cyberattaque reste inconnue, bien que le Trésor américain, le Département de la sécurité intérieure, le Département du commerce et certaines parties du Pentagone aient tous été touchés.
jack ma hauteur
Dans un article d'opinion écrit pour Le New York Times , Thomas P Bossert, qui était conseiller à la sécurité intérieure du président Donald Trump, a nommé la Russie pour l'attaque. Il a écrit des preuves dans les points d'attaque de SolarWinds sur l'agence de renseignement russe connue sous le nom de SVR, dont le métier est parmi les plus avancés au monde. Le Kremlin a nié son implication.
Alors, qu'est-ce que ce « hack SolarWinds » ?
Techniquement, la nouvelle de la cyberattaque a éclaté pour la première fois le 8 décembre, lorsque FireEye a publié un blog détectant une attaque contre ses systèmes. L'entreprise aide à la gestion de la sécurité de plusieurs grandes entreprises privées et agences gouvernementales fédérales.
Le PDG de FireEye, Kevin Mandia, a écrit dans un article de blog disant que la société avait été attaquée par un acteur de menace hautement sophistiqué, la qualifiant d'attaque parrainée par l'État, bien qu'elle n'ait pas nommé la Russie. Il a déclaré que l'attaque avait été menée par un pays doté de capacités offensives de premier plan, et que l'attaquant recherchait principalement des informations relatives à certains clients du gouvernement. Il a également déclaré que les méthodes utilisées par les attaquants étaient nouvelles.
Puis, le 13 décembre, FireEye a déclaré que la cyberattaque, qu'elle a baptisée Campagne UNC2452, ne se limitait pas à l'entreprise mais avait ciblé diverses organisations publiques et privées à travers le monde. La campagne a probablement commencé en mars 2020 et se poursuit depuis des mois, selon la publication. Pire, l'étendue des données volées ou compromises est encore inconnue, étant donné que l'ampleur de l'attaque est toujours en cours de découverte. Une fois les systèmes compromis, des mouvements latéraux et des vols de données ont eu lieu.
ADHÉRER MAINTENANT :La chaîne de télégrammes expliquée ExpressComment tant d'agences et d'entreprises du gouvernement américain ont-elles été attaquées ?
C'est ce qu'on appelle une attaque de « chaîne d'approvisionnement » : au lieu d'attaquer directement le gouvernement fédéral ou le réseau d'une organisation privée, les pirates ciblent un fournisseur tiers, qui leur fournit des logiciels. Dans ce cas, la cible était un logiciel de gestion informatique appelé Orion, fourni par la société texane SolarWinds.
Orion a été un logiciel dominant de SolarWinds avec des clients, qui comprennent plus de 33 000 entreprises. SolarWinds affirme que 18 000 de ses clients ont été touchés. Incidemment, la société a supprimé la liste des clients de ses sites Web officiels.
Selon la page, qui a également été supprimée des archives Web de Google, la liste comprend 425 entreprises du Fortune 500, les 10 principaux opérateurs de télécommunications aux États-Unis. Un rapport du New York Times a déclaré que des parties du Pentagone, des Centers for Disease Control and Prevention, du département d'État, du ministère de la Justice et d'autres ont tous été touchés.
Microsoft a confirmé avoir trouvé des preuves du malware sur leurs systèmes, bien qu'il ait ajouté qu'il n'y avait aucune preuve d'accès aux services de production ou aux données des clients, ou que ses systèmes ont été utilisés pour attaquer d'autres. Le président de Microsoft, Brad Smith, a déclaré que la société avait commencé à informer plus de 40 clients que les attaquants avaient ciblé plus précisément et compromis.
Un rapport de Reuters a déclaré que même les e-mails envoyés par les responsables du Département de la sécurité intérieure étaient surveillés par les pirates.
Comment ont-ils eu accès ?
Selon FireEye, les pirates ont eu accès aux victimes via des mises à jour de cheval de Troie du logiciel de surveillance et de gestion informatique Orion de SolarWinds. Fondamentalement, une mise à jour logicielle a été exploitée pour installer le logiciel malveillant « Sunburst » dans Orion, qui a ensuite été installé par plus de 17 000 clients.
FireEye affirme que les attaquants se sont appuyés sur plusieurs techniques pour éviter d'être détectés et masquer leur activité. Le malware était capable d'accéder aux fichiers système. Selon FireEye, ce qui a joué en faveur du malware, c'est qu'il a pu se fondre dans l'activité légitime de SolarWinds.
Une fois installé, le malware a donné une porte dérobée aux pirates informatiques pour accéder aux systèmes et réseaux des clients de SolarWinds. Plus important encore, le malware était également capable de contrecarrer des outils tels que des antivirus qui pouvaient le détecter.
D'où vient la Russie ?
Dans son article d'opinion du NYT, Bossert a nommé la Russie et son agence SVR, qui a les capacités d'exécuter l'attaque d'une telle ingéniosité et d'une telle ampleur.
Microsoft note dans son blog que cet aspect de l'attaque a créé une vulnérabilité de la chaîne d'approvisionnement d'importance presque mondiale, atteignant de nombreuses grandes capitales nationales en dehors de la Russie. Il ajoute que les attaques sophistiquées de la Russie sont devenues courantes.
FireEye, cependant, n'a pas encore désigné la Russie comme étant responsable et a déclaré qu'il s'agissait d'une enquête en cours avec le FBI, Microsoft et d'autres partenaires clés qui ne sont pas nommés.
andrew d'âge
|Comment les femmes sont protégées par une protéine qui laisse entrer le coronavirus
Qu'ont dit SolarWinds et le gouvernement américain à propos du piratage ?
À l'heure actuelle, SolarWinds recommande à tous les clients de mettre immédiatement à jour la plate-forme Orion existante, qui dispose d'un correctif pour ce malware. Si l'activité d'un attaquant est découverte dans un environnement, nous vous recommandons de mener une enquête approfondie et de concevoir et d'exécuter une stratégie de correction fondée sur les résultats de l'enquête et les détails de l'environnement impacté, a-t-il déclaré.
Ceux qui ne peuvent pas mettre à jour sont invités à isoler les serveurs SolarWinds et cela devrait inclure le blocage de toutes les sorties Internet des serveurs SolarWinds. La suggestion minimale est de changer les mots de passe pour les comptes qui ont accès aux serveurs/infrastructure SolarWinds.
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une directive d'urgence 21-01, demandant à toutes les agences civiles fédérales d'examiner leurs réseaux à la recherche d'indicateurs de compromission. Il leur a demandé de déconnecter ou d'éteindre immédiatement les produits SolarWinds Orion.
Le FBI, la CISA et le bureau du directeur du renseignement national ont publié une déclaration conjointe et annoncé ce qu'on appelle le « Cyber Unified Coordination Group (UCG)' afin de coordonner la réponse du gouvernement à la crise. La déclaration appelle cela une campagne de cybersécurité importante et continue.
La Maison Blanche et le président Donald Trump sont restés silencieux. Le sénateur Mitt Romney l'a mieux résumé dans ses commentaires au journaliste Olivier Knox de la radio SiriusXM, où il a comparé cette attaque à l'équivalent de bombardiers russes volant sans être détectés dans tout le pays, exposant ainsi la faiblesse des États-Unis en matière de cyberguerre. Il a déclaré que le silence et l'inaction de la Maison Blanche étaient inexcusables.
Le sénateur Richard Blumenthal, un démocrate, a tweeté : La cyber-attaque de la Russie m'a profondément alarmé, en fait carrément effrayé.
Le président élu Joe Biden a déclaré dans un communiqué : Une bonne défense ne suffit pas ; Nous devons perturber et dissuader nos adversaires d'entreprendre des cyberattaques importantes en premier lieu.
Partage Avec Tes Amis:
